Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess!

Strolsch · 28.07.2010, 16:03

Hallo,

bei der langen Suchen (die letzten Tage) bin ich immer wieder hier gelandet.
Leider werde ich aus den Posts nicht schlau und kann mir somit nicht mehr selber helfen.
Was ich gemacht habe:

Avira scan mit hier im Forum geposteter spezieller Einstellung. 3 Dinger (Agent.BF/Dropper.Gen/Trash.Gen) wurden gelöscht.

Problem noch da!!!

Vollständige suche mit Malwarebytes (nach Aktualisierung) kein Fund.

Avira AntiRootKitTool laufen lassen, kein Fund

Spybot SD findet auch nixmehr.

Also ist die Kiste gesund.....und damit

Der Dropper und der Trasher tauchen aber wieder auf. Avira hat sie nach update und scan zwei Tage später wieder Gelöscht

aber der Iexplorer Popt, wave wird leise und er Iexplore.exe Prozess rennt immernoch.

Meine Komputerkenntnisse beschränken sich auf den besuch eines DOS-Expertenkurses vor 20Jahren. Also müsst ihr den Kutscher das Autofahren beibringen.

Hoffe hier etwas unterstüzung zu finden den Dämon auszutreiben ohne neu zu installieren.

Danke schonmal,
Strolsch

markusg · 28.07.2010, 16:06

sei so gut, öffne avira, berichte und poste den scan bericht.
dann download mbrcheck
http://ad13.geekstogo.com/MBRCheck.exe
doppelklicke, das programm prüft den mbr, poste den inhalt der mbrcheck(datum).txt die sich auf deinem desktop befindet

Strolsch · 28.07.2010, 16:18

Wow, wie schnell

Avira:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Juli 2010  12:27

Es wird nach 2579062 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ISCH-AI67T0XW76

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  28.11.2009 13:12:48
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 13:12:47
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 13:12:47
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 17:09:11
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 16:17:43
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 07:25:39
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 17:10:45
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 12:39:42
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 07:34:09
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 07:34:10
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 07:34:10
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 07:34:10
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 07:34:10
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 07:34:10
VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 08:09:39
VBASE014.VDF   : 7.10.9.199      2048 Bytes  26.07.2010 08:09:39
VBASE015.VDF   : 7.10.9.200      2048 Bytes  26.07.2010 08:09:39
VBASE016.VDF   : 7.10.9.201      2048 Bytes  26.07.2010 08:09:39
VBASE017.VDF   : 7.10.9.202      2048 Bytes  26.07.2010 08:09:39
VBASE018.VDF   : 7.10.9.203      2048 Bytes  26.07.2010 08:09:39
VBASE019.VDF   : 7.10.9.204      2048 Bytes  26.07.2010 08:09:39
VBASE020.VDF   : 7.10.9.205      2048 Bytes  26.07.2010 08:09:39
VBASE021.VDF   : 7.10.9.206      2048 Bytes  26.07.2010 08:09:40
VBASE022.VDF   : 7.10.9.207      2048 Bytes  26.07.2010 08:09:40
VBASE023.VDF   : 7.10.9.208      2048 Bytes  26.07.2010 08:09:40
VBASE024.VDF   : 7.10.9.209      2048 Bytes  26.07.2010 08:09:40
VBASE025.VDF   : 7.10.9.210      2048 Bytes  26.07.2010 08:09:40
VBASE026.VDF   : 7.10.9.211      2048 Bytes  26.07.2010 08:09:40
VBASE027.VDF   : 7.10.9.212      2048 Bytes  26.07.2010 08:09:40
VBASE028.VDF   : 7.10.9.213      2048 Bytes  26.07.2010 08:09:40
VBASE029.VDF   : 7.10.9.214      2048 Bytes  26.07.2010 08:09:40
VBASE030.VDF   : 7.10.9.215      2048 Bytes  26.07.2010 08:09:40
VBASE031.VDF   : 7.10.9.227    108032 Bytes  28.07.2010 09:53:52
Engineversion  : 8.2.4.26 
AEVDF.DLL      : 8.1.2.0      106868 Bytes  24.04.2010 05:10:26
AESCRIPT.DLL   : 8.1.3.41    1364346 Bytes  21.07.2010 07:19:36
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 05:39:29
AESBX.DLL      : 8.1.3.1      254324 Bytes  24.04.2010 05:10:26
AERDL.DLL      : 8.1.8.2      614772 Bytes  21.07.2010 07:19:35
AEPACK.DLL     : 8.2.3.2      471414 Bytes  21.07.2010 07:19:34
AEOFFICE.DLL   : 8.1.1.8      201081 Bytes  22.07.2010 07:19:32
AEHEUR.DLL     : 8.1.2.6     2793846 Bytes  21.07.2010 07:19:33
AEHELP.DLL     : 8.1.13.2     242039 Bytes  21.07.2010 07:19:30
AEGEN.DLL      : 8.1.3.17     385396 Bytes  22.07.2010 07:19:31
AEEMU.DLL      : 8.1.2.0      393588 Bytes  24.04.2010 05:10:25
AECORE.DLL     : 8.1.16.2     192887 Bytes  21.07.2010 07:19:28
AEBB.DLL       : 8.1.1.0       53618 Bytes  24.04.2010 05:10:24
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  28.11.2009 13:12:48
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 12:39:55
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  28.11.2009 13:12:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010  12:27

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '102440' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sndvol32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitnet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATI9CE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb04.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISWSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '72' Prozesse mit '72' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'E:\'
E:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
E:\Dokumente und Einstellungen\Olaf\Eigene Dateien\Downloads\zaSetup_91_007_002en.exe
  [0] Archivtyp: ZIP SFX (self extracting)
    --> SWITCHUNINST_44ZONE LABS.EXE
      [1] Archivtyp: RSRC
    --> WINDOWS6.0-KB929547-V2-X64.MSU
      [1] Archivtyp: CAB (Microsoft)
      --> Windows6.0-KB929547-v2-x64.cab
        [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
E:\Dokumente und Einstellungen\Olaf\Eigene Dateien\Downloads\DL-Helper\Neuer Ordner\Split\DXVAChecker32_2.2.0.1.zip
  [0] Archivtyp: ZIP
    --> DXVAChecker.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
E:\System Volume Information\_restore{6D92DB18-B0D5-442A-86D7-1C3AA2182940}\RP217\A0045089.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
E:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
E:\Dokumente und Einstellungen\Olaf\Eigene Dateien\Downloads\DL-Helper\Neuer Ordner\Split\DXVAChecker32_2.2.0.1.zip
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca61f0f.qua' verschoben!
E:\System Volume Information\_restore{6D92DB18-B0D5-442A-86D7-1C3AA2182940}\RP217\A0045089.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c801ee7.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 28. Juli 2010  14:12
Benötigte Zeit:  1:44:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  17015 Verzeichnisse wurden überprüft
 978500 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 978496 Dateien ohne Befall
   8183 Archive wurden durchsucht
      3 Warnungen
      3 Hinweise
 102440 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

MBRCheck:

Code:

ATTFilter

MBRCheck, version 1.1.1
(c) 2010, AD

\\.\C: --> \\.\PhysicalDrive0
\\.\E: --> \\.\PhysicalDrive0

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Known-bad MBR code detected (Whistler / Black I
nternet)!


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

markusg · 28.07.2010, 16:34

ok starte mbrcheck
er wird den mbr prüfen, du wirst folgendes sehen
Enter 'Y' and hit ENTER for more options, or 'N' to e
drücke y und enter
dann
[2] Restore the MBR of a physical disk with a standard boot code.
drücke also 2
als nächstes
Enter the physical disk number to fix (0-99, -1 to cancel): 0
wähle 0
[ 0] Default (Windows XP)
drücke 0
jetzt wird folgendes erscheinen:
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
schreibe yes drücke enter
am ende sollte "done" da stehen.
starte neu, führe mbrcheck erneut aus und poste das neue ergebniss

Strolsch · 28.07.2010, 16:50

So, hier das Ergebnis nach dem Neustart.

Code:

ATTFilter

MBRCheck, version 1.1.1
(c) 2010, AD

\\.\C: --> \\.\PhysicalDrive0
\\.\E: --> \\.\PhysicalDrive0

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Windows XP MBR code detected


Done!  Press ENTER to exit...

Strolsch · 28.07.2010, 17:18

Also leise hat er nicht gemacht, es poppt bisher noch nix und der iexplore.exe steht auch nicht bei den Prozessen.

Sollte es das gewesen sein, oder bin ich nur zu voreilig/naiv?

Gruß,
Strolsch

markusg · 28.07.2010, 18:14

jetzt kommt erst mal n upgrade auf avira 10
avira

avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Strolsch · 28.07.2010, 21:08

So, hier der scan:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Juli 2010  19:58

Es wird nach 2581037 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ISCH-AI67T0XW76

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:12:47
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 13:12:47
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 17:09:11
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 16:17:43
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 07:25:39
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 17:54:05
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 17:54:09
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 17:54:19
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 17:54:19
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 17:54:19
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 17:54:19
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 17:54:19
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 17:54:19
VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 17:54:19
VBASE014.VDF   : 7.10.9.230    121856 Bytes  28.07.2010 17:54:20
VBASE015.VDF   : 7.10.9.231      2048 Bytes  28.07.2010 17:54:20
VBASE016.VDF   : 7.10.9.232      2048 Bytes  28.07.2010 17:54:20
VBASE017.VDF   : 7.10.9.233      2048 Bytes  28.07.2010 17:54:20
VBASE018.VDF   : 7.10.9.234      2048 Bytes  28.07.2010 17:54:20
VBASE019.VDF   : 7.10.9.235      2048 Bytes  28.07.2010 17:54:20
VBASE020.VDF   : 7.10.9.236      2048 Bytes  28.07.2010 17:54:20
VBASE021.VDF   : 7.10.9.237      2048 Bytes  28.07.2010 17:54:20
VBASE022.VDF   : 7.10.9.238      2048 Bytes  28.07.2010 17:54:20
VBASE023.VDF   : 7.10.9.239      2048 Bytes  28.07.2010 17:54:20
VBASE024.VDF   : 7.10.9.240      2048 Bytes  28.07.2010 17:54:20
VBASE025.VDF   : 7.10.9.241      2048 Bytes  28.07.2010 17:54:20
VBASE026.VDF   : 7.10.9.242      2048 Bytes  28.07.2010 17:54:20
VBASE027.VDF   : 7.10.9.243      2048 Bytes  28.07.2010 17:54:20
VBASE028.VDF   : 7.10.9.244      2048 Bytes  28.07.2010 17:54:20
VBASE029.VDF   : 7.10.9.245      2048 Bytes  28.07.2010 17:54:20
VBASE030.VDF   : 7.10.9.246      2048 Bytes  28.07.2010 17:54:20
VBASE031.VDF   : 7.10.9.249     27648 Bytes  28.07.2010 17:54:20
Engineversion  : 8.2.4.26  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  28.07.2010 17:54:27
AESCRIPT.DLL   : 8.1.3.41     1364346 Bytes  28.07.2010 17:54:27
AESCN.DLL      : 8.1.6.1       127347 Bytes  28.07.2010 17:54:26
AESBX.DLL      : 8.1.3.1       254324 Bytes  28.07.2010 17:54:28
AERDL.DLL      : 8.1.8.2       614772 Bytes  28.07.2010 17:54:26
AEPACK.DLL     : 8.2.3.2       471414 Bytes  28.07.2010 17:54:26
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  28.07.2010 17:54:25
AEHEUR.DLL     : 8.1.2.6      2793846 Bytes  28.07.2010 17:54:25
AEHELP.DLL     : 8.1.13.2      242039 Bytes  28.07.2010 17:54:22
AEGEN.DLL      : 8.1.3.17      385396 Bytes  28.07.2010 17:54:22
AEEMU.DLL      : 8.1.2.0       393588 Bytes  28.07.2010 17:54:22
AECORE.DLL     : 8.1.16.2      192887 Bytes  28.07.2010 17:54:21
AEBB.DLL       : 8.1.1.0        53618 Bytes  28.07.2010 17:54:21
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 28. Juli 2010  19:58

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-436374069-515967899-839522115-1003\Software\SecuROM\License information\datasecu
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-436374069-515967899-839522115-1003\Software\SecuROM\License information\rkeysecu
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
e:\programme\logitech\logitech webcam software\lu\lulnchr.exe
e:\Programme\Logitech\Logitech WebCam Software\LU\LULnchr.exe
    [HINWEIS]   Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitnet.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitdm.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'vid.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATI9CE.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb04.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '412' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Mittwoch, 28. Juli 2010  21:48
Benötigte Zeit:  1:50:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  17081 Verzeichnisse wurden überprüft
 984406 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 984406 Dateien ohne Befall
   8248 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 653527 Objekte wurden beim Rootkitscan durchsucht
      4 Versteckte Objekte wurden gefunden

Gute nacht bis morgen

Strolsch · 29.07.2010, 07:32

Also, sieht so aus als ob das alles weg ist.

Bedanke mich vielmals für die Hilfe hier, besonders bei markusg.

Schönen Tag noch,

Strolsch.

markusg · 29.07.2010, 11:35

kannst du mal bitte updaten und über lokaler schutz, lokale laufwerke scannen, sonst werden die einstellungen nicht gültig.

Strolsch · 29.07.2010, 13:54

Scan läuft....

Was hat es mit dem anderen Scan denn auf sich??? Bzw was ist da anderst?

markusg · 29.07.2010, 14:02

avira übernimmt die einstellungen nicht bei jeder auswahl, zb vollständige suche ist ein vordefiniertes profil, da werden die einstellungen nicht wirksam. den prüfauftrag hast du ja offendnlich ebenfalls eingerichtet auf lokale laufwerke? und nen update auftrag auch?
also quasi alles durchgearbeitet.eingerichtet.

Strolsch · 29.07.2010, 15:23

Scant noch, hab jetzt alles so wie Du es gesagt hast eingestellt.
Soll ich dann nochmal den Report reinstellen, auch wenn er nix findet?

markusg · 29.07.2010, 15:38

ja, damit ich mich überzeugen kann wegen der konfiguration.

Strolsch · 29.07.2010, 15:40

OK, geht aber wohl noch ein stündchen oder so...

28.07.2010, 16:06	#2
markusg /// Malware-holic	Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess! sei so gut, öffne avira, berichte und poste den scan bericht. dann download mbrcheck http://ad13.geekstogo.com/MBRCheck.exe doppelklicke, das programm prüft den mbr, poste den inhalt der mbrcheck(datum).txt die sich auf deinem desktop befindet __________________

28.07.2010, 18:14	#7
markusg /// Malware-holic	Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess! jetzt kommt erst mal n upgrade auf avira 10 avira avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

29.07.2010, 11:35	#10
markusg /// Malware-holic	Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess! kannst du mal bitte updaten und über lokaler schutz, lokale laufwerke scannen, sonst werden die einstellungen nicht gültig.

29.07.2010, 14:02	#12
markusg /// Malware-holic	Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess! avira übernimmt die einstellungen nicht bei jeder auswahl, zb vollständige suche ist ein vordefiniertes profil, da werden die einstellungen nicht wirksam. den prüfauftrag hast du ja offendnlich ebenfalls eingerichtet auf lokale laufwerke? und nen update auftrag auch? also quasi alles durchgearbeitet.eingerichtet.

29.07.2010, 15:38	#14
markusg /// Malware-holic	Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess! ja, damit ich mich überzeugen kann wegen der konfiguration.

Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess!

Plagegeister aller Art und deren Bekämpfung: Wave wird leise, der Internet Explorer popt und iexplore.exe läuft als Prozess!